GnuPG 1.4.9 und 2.0.9 beheben Schwachstelle

Die quelloffene Verschlüsselungslösung GnuPG ist in den Versionen 1.4.9 und 2.0.9 erschienen. Die aktuellen Fassungen beheben eine Schwachstelle in den Vorgängerversionen 1.4.8 und 2.0.8, durch die Angreifer möglicherweise Schadcode hätten einschleusen können.

Laut Fehlermeldung vom Open Source Computer Emergency Response Team (oCERT), dem etwa Sicherheitsexperten von Google wie Tavis Ormandy angehören, und dem Eintrag im GnuPG-Bugtracking-System kann der Import von Schlüsseln bei doppelten IDs zu einem Absturz führen. Laut den Bugtracker-Einträgen von Werner Koch vom GnuPG-Team geht das auf das erneute Freigeben eines bereits freigegebenen Zeigers (Null-Pointer-Derefenz) zurück, die in ungültige Speicherzugriffe (Memory Corruption) mündet. Die Entdecker der Schwachstelle von oCERT schließen nicht aus, dass sich dadurch Code einschleusen und ausführen lässt, demonstrieren das jedoch auch nicht.

Als weitere Neuerung in den aktuellen Fassungen wollen die GnuPG-Entwickler auf der x86-Architektur die AES-Verschlüsselung um 20 Prozent beschleunigt haben. GnuPG-Nutzer sollten wenn möglich auf die aktualisierten Version umsteigen. Sie stehen auf den Projekt-Servern und -Mirrors zum Download bereit.

Siehe dazu auch:

• GnuPG 1.4.9 released, Ankündigung der aktuellen Version von Werner Koch
• GnuPG memory corruption, Fehlermeldung von oCERT
• segv when importing keys with duplicated ids, Eintrag im Bugtracking-System von GnuPG

(dmk)